Dataskyddsförordningen (GDPR) - så här fungerar den
Dataskyddsförordningen (GDPR) (trädde i kraft 25 maj 2018) ställer stora krav på hur vi hanterar personuppgifter i vår verksamhet. Vi ska tydliggöra ansvar och struktur för all behandling av personuppgifter, t.ex. lagring, kommunicering och beräkningar.
Dataskyddsförordningen 1 år, 2019.
Vi får även fortsatt behandla personuppgifter men det måste finnas ett klart angivet ändamål, behandlingen måste var nödvändig för ändamålet och det ska finnas en laglig grund för behandlingen. Alla personuppgifter ska skyddas med bl.a. tekniska åtgärder.
Personuppgiftsbehandling ska anmälas och registreras centralt.
Rutinen för anmälan inkluderar alla moment och är tänkt att samla alla handlingar (anmälning, informationsklassificering, personuppgiftsbiträdesavtal, ev. korrespondens m.m.) i ett och samma ärende. Rutinen fungerar så här:
-
Gör en informationsklassificering enligt de riktlinjer du hittar här (se bilagorna 2 och 6)
Har du frågor kring detta kan du också kontakta security@uu.se för att få hjälp.
-
Om du skall utföra personuppgiftsbehandlingen åt någon annan utanför Uppsala universitet, t.ex. ett annat lärosäte eller omvänt behövs ett personuppgiftsbiträdesavtal som du upprättar med hjälp av mallavtalet. Titta i vänstermenyn under rubriken "AI-granskning personuppgiftsbiträdesavtal".
Har du frågor kring detta kan du också kontakta juravd@uadm.uu.se för att få hjälp.
-
Om du behöver ett etikgodkännande vänder du dig till Etikprövningsmyndigheten genom ett elektroniskt ansökningsförfarande
-
Rör din forskning barn eller i övrigt leder till en hög risk för deltagarnas fri- och rättigheter kan du behöva göra en konsekvensbedömning. Du kan vända dig till Dataskyddsombudet för hjälp med det: dataskyddsombud@uu.se
-
Hos itsupport@uu.se kan du beställa en lagringsyta för forskningsdata från UU:s centrala tjänst ALLVIS. Läs mer här. Beställer ytan gör du enkelt här.
-
Det sista steget i rutinen är själva anmälan av personuppgiftsbehandlingen. Den görs på en elektronisk blankett där du samtidigt laddar upp övriga dokument som är relevanta för behandlingen (informationsklassificering, personuppgiftsbiträdesavtal, etikbeslut m.m.). Anmälan av personuppgiftsbehandling hittar du under punkt 5 nedan.
Här hittar man mer information om:
- Personuppgifter och känsliga personuppgifter.
- Behandling av personuppgifter.
- Lagliga grunder.
- Personuppgiftsbehandling i olika verksamheter.
- Anmälan av personuppgiftsbehandling.
- Tekniska skyddsåtgärder.
- Personers rättigheter.
- Kontaktuppgifter
- Personuppgiftsbiträdesavtal
1a. Personuppgifter
- Varje upplysning som avser en identifierad eller identifierbar person, t.ex.:
- namn
- ett identifikationsnummer
- en lokaliseringsuppgift eller onlineidentifikator
- en eller flera faktorer som är specifika för personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
1b. Känsliga personuppgifter
- Ras eller etniskt ursprung.
- Politiska åsikter.
- Religiös eller filosofisk övertygelse.
- Medlemskap i en fackförening.
- Hälsa.
- Sexualliv eller sexuell läggning.
- Genetiska uppgifter.
- Biometriska uppgifter som entydigt identifierar en person.
2. Behandling av personuppgifter
Med behandling menas allt man gör med personuppgifter t.ex. insamling, registrering, lagring, bearbetning, spridning.
3. Laglig grund
All behandling av personuppgifter måste ha en laglig grund (rättslig grund). Det finns sex lagliga grunder:
- Samtycke: ska vara informerat, frivilligt och givet genom en aktiv handling.
- Avtal: att fullgöra ett avtal eller på begäran av den registrerade innan ett sådant ingås.
- Rättslig förpliktelse: om en annan lag kräver behandling av personuppgifter.
- Skydd för grundläggande intresse: om någons grundläggande intresse kräver behandlingen (t.ex. inom sjukvården).
- Uppgift av allmänt intresse och myndighetsutövning: om syftet med behandlingen bedömts vara av allmänt intresse (ex. forskning, studier) eller om myndighetens arbete kräver behandlingen.
- Berättigat intresse: (Intresseavvägning) om berättigade intressen för behandling väger tyngre än skyddet av den enskildes rättigheter. (Denna grund får inte användas av myndigheter när de utför sina uppgifter.)
4. Personuppgiftsbehandling i olika verksamheter
Dataskyddsförordningens införande gör att alla som behandlar personuppgifter måste se över sina rutiner och fundera över hur de på bästa sätt kan tillgodose rättigheterna för de vars personuppgifter man behandlar. Det betyder inte att man inte längre får behandla personuppgifter utan att man får behandla personuppgifter, så länge det sker på rätt sätt.
Du får behandla personuppgifter om behandlingen uppfyller allt nedan:
- Behandlingen är nödvändig. (Kan ej genomföras utan personuppgifterna.)
- Behandlingen har en laglig grund.
- Behandlingen beaktar de allmänna principerna.
- Behandlingen skyddas av organisatoriska och tekniska skyddsåtgärder.
Vill du veta mer om detta finns det information i rollkategorierna nedan. Ta gärna del i den information som finns i fler rollbeskrivningar än din, ju mer kunskap vi kan sprida om dataskyddsförordningen, ju bättre kan vi skydda enskildas rättigheter.
- Chef/prefekt
- Doktorand
- Ekonomiadministratör (Personal inom ekonomiområdet)
- E-postanvändare
- Lärare
- Personaladministratör
5. Så här anmäler du personuppgiftsbehandling
Det finns två typer av behandlingar. Fyll i rätt blankett, som sedan registreras centralt i universitetets huvuddiarium (W3D3). Anmälningarna sammanställs sedan i rapporter för att möjliggöra statistik och annan uppföljning.
- Universitetet är personuppgiftsansvarig: anmäl din personuppgiftsbehandling här.
- Universitetet behandlar personuppgifter åt någon annan som personuppgiftsbiträde: anmäl dig som personuppgiftsbiträde här.
- If you would prefer to register your processing of personal data in English: please use this link.
6. Informationssäkerhet
Personuppgiftsbehandling måste skyddas med tekniska och andra åtgärder beroende på vilken konsekvens t.ex. en förlust av informationen skulle få.
En metod att bedöma vilken skyddsnivå som både är nödvändig men också tillräcklig får man genom en så kallad informationsklassificering. Mer om informationssäkerhet.
7. Registrerade personers rättigheter
Registrerade personer har, enligt dataskyddsförordningen, ett antal rättigheter. I korthet innebär det att de registrerade personerna ska ha kontroll över sina egna uppgifter genom att få information om, när och hur deras personuppgifter behandlas. Rättigheterna har i och med dataskyddsförordningen stärkts jämfört med PUL (personuppgiftslagen). Registrerade personer har, i vissa fall, rätt att få sina uppgifter rättade, raderade eller blockerade. De kan också få ut eller flytta sina uppgifter. Den som vill utöva sina rättigheter: se kontaktuppgifter nedan.9. Kontakt
Behöver du hjälp är du välkommen att kontakta dataskyddsombudet. Använd i första hand frågeformuläret.
Kontakt med dataskyddsombudet vid Uppsala universitet genom e-post dataskyddsombud@uu.se